Was haben der Tiger King und Datenschutzerklärungen von Streaming-Plattformen gemeinsam? Auf den ersten Blick nicht viel. Doch weit gefehlt, beide hinterlassen zuverlässig eine tiefgreifende Verwirrung.
Der Inhalt im Überblick
Albtraum einer Couch Potato
Vielleicht haben Sie sich auch schon mal gefragt, was eigentlich im Hintergrund passiert, wenn Sie gemütlich auf der Couch liegt und Netflix schauen.
Das haben sich jedenfalls die Arbeiterkammer „AK“ und der Datenschutzverein „NOYB“ aus Österreich gefragt. Schließlich sind Streaming-Plattformen wahre Goldgruben für Datenauswertungen. Anders als beim guten alten Fernseher oder Radio, werden Seh- und Hörgewohnheiten minutiös erfasst.
Dafür haben sie die Datenschutzerklärungen der acht beliebtesten Streamingdienste untersucht: Amazon Prime, Apple Music, DAZN, Flimmit, Netflix, SoundCloud, Spotify und YouTube.
Nur haben die Datenschutzerklärungen mehr Fragen als Antworten aufgeworfen. Keine Spur einer Erklärung, wie die maßgeschneiderten Empfehlungen gegeben werden. Eine Empfehlung am Rande: Wenn Sie von Tiger King & Co. zu aufgerüttelt sind, um direkt einzuschlafen, lesen Sie als Gegenmittel eine Datenschutzerklärung. Das Wirkung tritt in der Regel innerhalb weniger Sekunden ein.
Befähigung zur Selbstbestimmung (Theorie)
Verantwortliche, hier die Betreiber der Streaming-Dienste, sind nach der DSGVO verpflichtet, den Nutzern Informationen zur Datenverarbeitung in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung zu stellen.
Durch die Information zur Existenz der Verarbeitungsvorgänge und deren Zwecken soll eine faire und transparente Verarbeitung gewährleistet werden. Das hehre Ziel: Der Nutzer soll so zur inneren Selbstbestimmung befähigt werden und entscheiden können, ob er die Datenerhebung erlauben oder sonst zu ihr beitragen will.
Verwirrung (Realität)
Die Nutzer werden durch keine der Datenschutzerklärungen wirklich transparent informiert. Was mit den Daten geschieht, bleibt im Dunkeln. Die AK und das NOYB bemängeln (fast) alles an den Datenschutzerklärungen. Es geht los bei fehlenden Kontaktdetails und endet bei fehlenden Zweckangaben. Etwas salopp gesagt, kann man sich viele der Datenschutzerklärungen in der derzeitigen Form sparen. Wir wollen auf einzelne Befunde des Berichts eingehen. Eine Tabelle mit einer Übersicht der Ergebnisse finden Sie auf Seite 9.
Wahllose Zwecke, Rechtsgrundlagen und Datenkategorien
Zwecke werden häufig nur beispielhaft aufgezählt und sind daher zu unbestimmt. Mangels der Verknüpfung der Zwecke mit Rechtsgrundlagen kann sich der Nutzer auch kein Bild von der Rechtmäßigkeit machen. So heißt es bei Amazon Prime
„zu diesen Zwecken zählen: Kauf und Lieferung von Produkten und Dienstleistungen, Bereitstellung, Fehlerbehebung und Verbesserung der Amazon Services, Empfehlungen und Personalisierung, Bereitstellung von Sprachdiensten, Einhaltung rechtlicher Verpflichtungen, Kommunikation mit Ihnen, Anzeigen, Betrugsprävention und Kreditrisiken, Zwecke, für die wir Ihre Einwilligung einholen.“
Zu den Rechtsgrundlagen heißt es nur:
„in bestimmten Fällen unterliegen wir rechtlichen Verpflichtungen, Ihre persönlichen Informationen zu erheben und zu verarbeiten“, und: „eventuell bitten wir Sie um Ihre Einwilligung, Ihre persönlichen Informationen zu einem bestimmten Zweck zu verarbeiten, den wir Ihnen mitteilen werden“.
Man könnte anders herum auch formulieren. Wir verarbeiten ihre Daten für eine unbestimmte Anzahl an Zwecke. Nach dem Motto: Nenne alle möglichen Zwecke und du kannst tun und lassen was du willst. Irgendein Zweck wird schon passen. So wird der Zweckbindungsgrundsatz unterlaufen. Zudem bekommen Nutzer den Eindruck, dass die Verarbeitung sämtlicher personenbezogenen Daten auf alle Rechtsgrundlagen gestützt werden könnte.
Nebulöse Empfänger
Die Datenschutzerklärungen enthalten häufig keine Einschränkungen, welche Kategorien von Daten geteilt werden. Empfänger werden nur sehr unbestimmt genannt. Durch die unbestimmten Angaben wird der Eindruck erweckt, dass alle personenbezogenen Daten weitergegeben werden können.
Bei Youtube heißt es, dass personenbezogene Daten in den folgenden Fällen weitergegeben werden:
„mit Einwilligung der Nutzer, an Domain-Administratoren, mit verbundenen und nicht-verbundenen Unternehmen oder Personen, wie z.B. Dienstleistern, zur externen Verarbeitung und aus rechtlichen Gründen.“
Aha, mmh, was habe ich da eigentlich gerade gelesen? Keine Sorge, auch nach mehrmaliger Lektüre ist man nicht viel schlauer. In einem Wettbewerb „sage etwas, ohne etwas zu sagen“ würde die Erklärungen einen der oberen Ränge belegen.
Amazon wiederum macht widersprüchliche Angaben. So wird erklärt, dass personenbezogene Daten nur an Amazon.com, Inc. und seine Tochtergesellschaften weitergegeben werden. Gleichzeitig erklärt Amazon, dass personenbezogene Daten für bestimmte Zwecke, wie „Transaktionen mit Dritten, Drittdienstleister“, an Dritte weitergegeben werden.
Unbestimmte Speicherdauer
Die Speicherdauer wird meistens nicht konkretisiert. Auch eine Bestimmung anhand von Kriterien ist häufig ebenso nicht möglich.
Bei Amazon Prime heißt es:
„Wir speichern Ihre Informationen solange, wie dies erforderlich ist, um die in dieser Datenschutzerklärung beschriebenen Zwecke zu erfüllen oder wie dies gesetzlich vorgeschrieben wird, z.B. für Steuer-und Buchhaltungszwecke.“
Dumm nur, dass die Zwecke nur beispielhaft aufgezählt werden und keine Verknüpfung der Datenkategorien mit Zwecken stattfindet, sodass der Nutzer überhaupt nicht weiß für welche Zwecke welche Daten genau verarbeitet werden.
Die Datenschutzerklärung von Netflix gibt im Grunde das Gesetz wieder:
„Wir können Informationen, wie gemäß geltenden Gesetzen und Bestimmungen erforderlich oder zugelassen, einschließlich unter Einbeziehung Ihrer Auswahl, zu Zwecken der Rechnungsstellung oder Buchführung und um den Zwecken dieser Datenschutzerklärung nachzukommen, speichern.“
Empfehlungen wie von Geisterhand
Wir alle kennen die Empfehlungen auf Streaming-Plattformen. Viele lassen sich davon leiten. Die Datenschutzerklärungen enthalten hierzu aber keine Informationen, obwohl die DSGVO bei automatisierter Entscheidungsfindung aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person fordert.
Apple behauptet sogar, dass
„keinerlei Entscheidungen unter Zuhilfenahme von Algorithmen oder Profiling mit erheblichen Auswirkungen für Sie”
getroffen werden. In der Apple-Music-Datenschutzerklärung heißt es dann aber:
„Wenn du Apple Music verwendest, erfassen wir Informationen über die Titel und Videos, die du abspielst oder zu deiner Musikmediathek oder deinen Playlists hinzufügst, sowie Inhalte, die du als Favorit wählst, kommentierst oder teilst.“
„Wir nutzen diese Daten, um dein Apple Music-Erlebnis individuell an dich anzupassen. Außerdem möchten wir genauer verstehen, auf welche Art und Weise Apple Music verwendet wird, damit wir es verbessern können.”
„Zudem können wir dir Vorschläge machen, die deinen Geschmack treffen.“
Hier ist eine Profilerstellung mittels automatisierter Profilerstellung wahrscheinlich.
Auch Netflix erklärt nicht klar und deutlich, dass automatisierte individuelle Entscheidungen getroffen werden. Man kann nur mittelbar darauf schließen, z.B. wegen der Zwecke der
„Bereitstellung von speziell auf Sie abgestimmten Empfehlungen für Filme und Serien, die Ihnen unsere Meinung gefallen nach könnten“
und die Optimierung von
„Empfehlungsalgorithmen und die Darstellung“.
Das gleiche gilt für Amazon Prime. Auch hier lässt sich nur mittelbar auf den Einsatz von Algorithmen schließen, z.B. durch den Zweck „Empfehlungen und Personalisierung“:
„Wir verarbeiten Ihre persönlichen Informationen, um Funktionen, Produkte und Dienstleistungen zu empfehlen, die für Sie von Interesse sein könnten, um Ihre Präferenzen zu ermitteln und Ihre Erfahrungen mit Amazon Services zu personalisieren“
Solche Profile werden in der Regel mittels Algorithmen erstellt. Diese Information ist aber auch unvollständig, weil Amazon die Logik hinter den Empfehlungen und der Personalisierung nicht erklärt.
Zum Wegklicken
Nun sagen Sie vielleicht, ist doch alles halb so schlimm. Die Datenschutzerklärungen liest ja eh niemand. Es sind halt die AGBs der Datenschutzwelt. Doch hier stellt sich die Frage nach dem Ei und der Henne. Was war zuerst da? Das Desinteresse der Nutzer oder die Frustration nach der ersten nichtssagenden Datenschutzerklärung.
Der Gesetzgeber hat die Informationspflichten als ein Grundstein der weiteren Rechte und Pflichten der DSGVO gedacht, denn nur wenn man weiß, was passiert, kann man selbstbestimmt handeln und seine Rechte wahrnehmen. Das Bundesverfassungsgericht trifft den Nagel auf den Kopf:
„Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffende Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden.“
